Приложение, созданное ИИ вашего коллеги, может утекать корпоративные секреты

      Инструменты кодирования на базе ИИ сделали создание веб-приложений невероятно простым, и теперь на настройку уходит всего несколько минут. Эта простота снизила барьер для разработки приложений, что вызывает новый набор проблем. Так что происходит, когда эти приложения, созданные ИИ, выходят в сеть без проверки безопасности? Вы получаете утечку секретов по всему интернету.

      Отчет WIRED подчеркивает серьезную проблему безопасности вокруг так называемых «вибрационно закодированных» приложений, которые создаются с использованием платформ разработки ИИ, таких как Lovable, Replit, Base44 и Netlify.

      Почему это более серьезная проблема, чем вы думаете

      Исследователь безопасности Дор Цви и его команда из RedAccess проанализировали тысячи этих приложений и обнаружили более 5000, которые имели мало или совсем не имели безопасности или аутентификации. Большинство из этих приложений могли быть практически доступны любому, кто нашел «правильный» URL. У нескольких из них были лишь минимальные барьеры, позволяющие посетителям входить с любым адресом электронной почты. Почти половина этих открытых приложений, по словам Цви, содержала конфиденциальные данные, такие как медицинская информация, финансовые записи, корпоративные презентации, стратегические документы и логи чат-ботов клиентов.

      Ли Кэмпбелл / Unsplash

      Расследование также выявило рабочие задания больниц с личной идентифицируемой информацией, данные о покупке рекламы, стратегии рыночных презентаций, информацию о продажах и даже разговоры с клиентами с их именами и контактными данными. Несколько из этих приложений все еще были в сети, хотя WIRED не смог проверить, были ли все данные, которые он рассмотрел, реальными или конфиденциальными.

      Как вибрационное кодирование стало опасным в ИТ

      Эта история не ограничивается одной группой небрежных приложений ИИ. Эти инструменты позволяют людям, которые могут не иметь опыта в программной инженерии или безопасности, быстро создавать и публиковать приложения, которые часто выходят за рамки нормальных процессов одобрения ИТ. Таким образом, член маркетинговой команды, работник операционного отдела или основатель может создать инструмент для внутреннего использования, подключить его к реальным данным и случайно оставить его открытым для сети.

      Цви сравнил это с волной открытых корзин Amazon S3, где неправильные настройки привели к утечке конфиденциальных данных в массовом масштабе. Исследователь безопасности Джоэл Марголис сказал WIRED, что инструменты кодирования ИИ делают только то, что от них просят. Поэтому, если пользователь не запрашивает безопасность явно, приложение может не быть защищенным по умолчанию.

      wavebreakmedia/Shutterstock

      Что сказали компании?

      Генеральный директор Replit Амджад Масад написал в X, что некоторые пользователи опубликовали приложения в открытом доступе, которые должны были быть приватными, добавив, что доступность публичных приложений в сети — ожидаемое поведение. Тем временем Lovable заявила, что серьезно относится к утечкам данных и отчетам о фишинге и проводит расследование. Родительская компания Base44 Wix заявила, что ее платформа предоставляет средства контроля безопасности и видимости, утверждая, что публичный доступ отражает выбор конфигурации пользователя, а не уязвимость платформы.

      Это проверка реальности для всех, кто рассматривает вибрационное кодирование как быстрый путь к успеху стартапа. Приложения, созданные ИИ, могут двигаться быстро, но эта скорость имеет реальные последствия. От слабого контроля до скрытых уязвимостей, приложения, созданные ИИ, могут стать серьезной проблемой, как только продукт окажется в руках пользователей.